内部使用 密码使用管理制度 版本号状态拟稿和修改时间说明 V1.0新建 2021/02/10 V2.0修改 2023/4/2第一章总则 第一条目的 为了北京思度文库股份有限公司（以下简称“公司”） 第二条适用范围 公司范围内的域用户、 Oracle 及SQL数据库用户、邮件用户、各应用系 统用户、网络安全设备用户、网络交换及路由设备用户等的密码管理。 第二章术语定义 第三条密码 密码指用户为防止信息泄露而设置的一组随机字符，用来验证用户的身份 。 第四条强口令 强口令是指由多个字符组成的密码，包括大小写字母、数字、特殊符号等 多种元素，且长度达到一定要求的密码，强口令难以被破解，更有利于保护用 户账号和信息安全。 第五条二次认证 二次认证是指除了用户名和密码之外，为用户提供另外一层身份验证机制 ， 包括短信验证码、邮件验证码、手机令牌、指纹识别等，提高账户安全性。第六条个人密码管理 个人密码管理是指个人在密码使用中应遵循的一系列规范，包括密码的选 择、更改、保管及应对密码泄露等方面。 第七条密码加密 密码加密是指对用户密码进行加密处理，使密码内容更加安全，保护用户 账户和信息安全。 第八条密码复杂度 密码复杂度是指密码所依据的复杂程度标准，包括密码长度、字符种类、 密码历史等要素的复杂程度。 第九条密码策略 密码策略是指针对用户密码的管理措施，包括密码长度和复杂度要求、密 码更改周期、多次错误密码锁定等。 第三章岗位职责 第十条集团IT部门 负责制定密码规则和设置数据库及网络设备用户密码。 第十一条分公司IT部门 负责设置本地分公司域用户初始密码。第十二条所有用户 负责维护自己的域用户密码。 第四章密码管理 第十三条账号申请 员工入职时由人力资源部同事为员工开通 SSO账号，初始密码以手机短信 发送给员工。员工初次登录，强制修改密码。 第十四条密码复杂度 所有用户的密码最少 8位字符，用户密码不能包含用户名称中的 3个或3 个以上字符；禁止使用过于简单的密码如 suntech,12345678,abcdefg 等； 用户密码至少应包括以下五种字符中的 3种：大写英文字符 ;小写英文字符;阿 拉伯数字;特殊符号(如!/$/#/%等);Unicode字符。 第十五条密码变更管理 域用户密码的有效期限为90天，当密码的使用时间到达 此期限前15天，系 统在开机用户输入用户名和密码前会自动提示窗口询问用户是否现在更改密码。 用户应及时按提示更改密码，否则用户密码将会在期限到时失效；远程VPN用 户使用VPN帐号和域账号进行身份验证。 第十六条强制更换 所有更改的密码不 可以与原有密码相同，否则就失去了密码期限限制的 作 用；域用户的强制密码历史的数 量为4个；用户帐号被激活的同时既被强制要 求更改初始密码。第十七条账号锁定 系统检测账号在24小时内连续6次登录内部系统失败，会将其账号临时锁 定，限制其VPN及各内部系统登录。 第十八条账号解锁 账号解禁由账号使用 者发起账号解禁的申请邮件，在 直属领导审批通过后， 由系统管理员进行账号解禁，系统 将新密码以邮件的形式发送给账号使用者。 第十九条账号清理 在员工办理离职流程时，系统自动关闭该账号的所有登录权限。 第五章附则 本制度自发布之日起生效。